Europejska inicjatywa dotycząca bazy podatności

Jest to istotny ruch, zwłaszcza jeżeli weźmiemy pod uwagę działania administracji prezydenta Trumpa, o których pisaliśmy tutaj. EUVD może być przydatnym zasobem, ale Agencja musi zadbać o to, aby dane były na bieżąco aktualizowane.

Uruchomienie EUVD związane jest z zapisami dyrektywy NIS2. Baza danych ma na celu dostarczanie „zagregowanych, wiarygodnych i użytecznych informacji”, w tym statusu eksploatacji i środków łagodzących, na temat luk w zabezpieczeniach wpływających na produkty IT, OT i IoT.

Baza danych jest dostępna bezpłatnie dla każdego. Zawiera informacje pochodzące od dostawców, zespołów reagowania na incydenty i innych baz danych podatności, takich jak katalog znanych luk w zabezpieczeniach (KEV) CISA i program CVE MITRE. Warto również zauważyć, że ENISA jest organem numerującym CVE (CNA) od 2024 r. i może przypisywać identyfikatory CVE do luk.

O wymaganiach narzucanych przez NIS2 można przeczytać tutaj.

Opinie ekspertów

SecurityWeek skontaktował się z kilkoma ekspertami, aby poznać ich opinie na temat EUVD, szczególnie w świetle ostatnich problemów nękających program CVE i krajową bazę danych luk w zabezpieczeniach (NVD). Poniżej przytaczamy najciekawsze wypowiedzi.

Patrick Garrity, badacz ds. bezpieczeństwa w firmie zarządzającej lukami w zabezpieczeniach VulnCheck powiedział:

„Bazy danych luk w zabezpieczeniach mają długą historię, więc nie jest niczym niezwykłym, że pojawiają się nowe źródła baz danych luk w zabezpieczeniach i exploitów. W przypadku ENISA ma sens, że UE chciałaby regionalnej bazy danych – nawet jeśli jest ona w dużej mierze zbędna w stosunku do programu CVE – ponieważ umożliwia większą kontrolę i dostosowanie do regionalnych interesariuszy”.

Garrity zwrócił przy tym uwagę na kryzys w finansowaniu programu CVE.

Z kolei Nathaniel Jones, wiceprezes ds. strategii bezpieczeństwa i sztucznej inteligencji oraz CISO w Darktrace, opisał bazę danych luk w zabezpieczeniach UE jako „zwycięstwo dla globalnej społeczności cyberbezpieczeństwa”.

„Chociaż będzie trzeba rozwiązać pewne problemy operacyjne, podstawy utrzymywania informacji z programu CVE firmy MITRE i KEV firmy CISA są zachęcające” – stwierdził Jones. „To rozsądne zarządzanie ryzykiem, które pozwala uniknąć pojedynczych punktów awarii w globalnym raportowaniu luk w zabezpieczeniach i może pomóc w zmniejszeniu opóźnień w raportowaniu”.

Jednocześnie Julian Brownlow Davies, wiceprezes ds. zaawansowanych usług w platformie bug bounty Bugcrowd, wskazał, że ENISA musi pokonać pewne wyzwania, aby baza danych zachowała znaczenie operacyjne.

„W przeciwieństwie do KEV lub prywatnych źródeł, takich jak VulnDB, które oferują wzbogacony kontekst i priorytetyzowanie exploitów, EUVD będzie wymagać ścisłej integracji i rygoru w czasie rzeczywistym, aby być czymś więcej niż tylko równoległym zapisem. Istnieje tutaj ryzyko fragmentacji. Zespoły ds. bezpieczeństwa nie potrzebują więcej baz danych; potrzebują jakościowych informacji”.